ABD federal kolluk kuvvetleri şifreli mesajlaşma hizmetleri sağlayıcılarından hangi kullanıcı verilerini elde edebilir?
Federal Soruşturma Bürosu'nun (FBI) yakın zamanda açıklanan Ocak 2021 tarihli bir belgesi, dokuz farklı "güvenli mesajlaşma" uygulamasına ilişkin kısa bir özet sunuyor. Belge, FBI'ın yasal süreçle çeşitli meta veri türlerini ve hatta bazı durumlarda depolanmış mesaj içeriğini alabileceğini gösteriyor. Ancak tam olarak nelerin mevcut olduğu uygulamaya göre büyük ölçüde değişiyor. Tek sayfalık belge, gazeteciler, ihbarcılar ve aktivistler de dahil olmak üzere gizlilik bilincine sahip kişilere faydalı bir rehberlik sunarken, FBI'ın şifreli mesajlaşma bağlamındaki izleme yetenekleri (ya da bunların eksikliği) hakkındaki yanlış anlamaları ortadan kaldırmaya da yardımcı olacaktır. "FOIA gurusu" Ryan Shapiro ve yorulmak bilmeyen avukat Jeffrey Light tarafından yönetilen, hükümet-şeffaflık sivil toplum kuruluşu Property of the People 'a (POTP) bu kaydı Bilgi Edinme Özgürlüğü Yasası kapsamında elde ettiği için teşekkür ederiz.
7 Ocak 2021 tarihli belge, Kasım 2020 itibariyle FBI'ın yeteneklerini yansıttığını belirtiyor. Tabloda yer alan uygulamalar iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (Meta, fka Facebook'a ait) ve Wickr (Haziran ayında AWS tarafından satın alındı). Bu uygulamaların çoğu --iMessage, Signal, Threema, Viber, WhatsApp ve Wickr-varsayılan olarak mesajları uçtan ucaşifreler. Diğerlerine gelince, Telegram bazı bağlamlarda varsayılan uçtan uca şifreleme (E2EE) kullanırken bazılarında kullanmıyor. E2EE, LINE'ın yeni sürümlerinde varsayılan olarak açıktır, ancak eski istemcilerde açık olmayabilir. Çinli dev Tencent'in sahibi olduğu WeChat ise uçtan uca şifrelemeyi hiç desteklemiyor (sadece istemciden sunucuya şifreleme). Bu farklılık, belgede uygulamalardan neden "E2EE" yerine "güvenli" olarak bahsedildiğini açıklayabilir.
FBI Hangi Kullanıcı Verilerine Ulaşabilir?
Grafik, farklı hizmetlerin kullanıcılar ve iletişimleri hakkında ne kadar veri toplayıp sakladıkları ve sonuç olarak geçerli bir emir, mahkeme celbi veya mahkeme emri verildiğinde kolluk kuvvetlerine hangi verileri sağlayacakları konusundaki çeşitliliği aydınlatıyor. (Örneğin, bir sağlayıcının elindeki bir kullanıcıya ilişkin "tüm kayıtları" isteyen bir arama emrini düşünün: kullanıcıları hakkında ne kadar çok bilgi tutarsa, kolluk kuvvetlerine o kadar fazla bilgi vermesi gerekebilir). Bu bilgiler Signal ve Telegram'dan elde edilebilen asgari bilgilerden, çeşitli hizmetlerin FBI'a ifşa ettiği temel abone bilgileri ve diğer meta verilere ve hatta dokuz uygulamadan üçünün "sınırlı" depolanmış mesaj içeriğine kadar uzanıyor: LINE (söylendiği gibi hala E2EE olmayan sohbetleri destekliyor), iMessage ve WhatsApp.
E2EE mesajlaşmadan bahsettiğimiz göz önüne alındığında, bu son kısım bazı iMessage ve WhatsApp kullanıcıları için sürpriz olabilir. Doğru, E2EE kullanıcıların mesajlarını aktarım sırasında kolluk kuvvetleri için erişilemez hale getiriyor, ancak bulut depolama için farklı bir hikaye. Bir iMessage kullanıcısının iCloud yedeklemeleri açıksa, şifreleme anahtarının bir kopyası mesajlarla birlikte yedeklenir (kurtarma amacıyla) ve Apple'ın arama emri iadesinin bir parçası olarak ifşa edilerek mesajların okunmasını sağlar. WhatsApp mesajları iCloud ya da Google Drive'a yedeklenebilir, dolayısıyla bu bulut hizmetlerinden birine yönelik bir arama emri mesaj içeriği de dahil olmak üzere WhatsApp verilerini ortaya çıkarabilir (ancak WhatsApp'a yönelik bir arama emri mesaj içeriğini geri getirmeyecektir). (WhatsApp kısa süre önce buluttaki mesaj yedeklerini E2EE'ye aktarma seçeneğini sunmaya başladı, bu da FBI tablosunu biraz güncel olmaktan çıkarıyor).
Uygulama üreticilerinin kamuya açık belgelerini ve mahkemelerin suç dosyalarını tarayarak tablodaki bazı bilgileri bir araya getirmek mümkün olsa da, FBI uygun bir şekilde bunları bir bakışta görülebilecek bir sayfa haline getirdi. Hem elektronik iletişim gizliliğini düzenleyen yasalara hem de tercih ettiğiniz şifreli mesajlaşma uygulamasının/uygulamalarının teknik nüanslarına aşina iseniz, bu sizin için eski bir haber olabilir. Bu durum pek çok Just Security okuyucusunu ve hükümet gözetim muhabirini tarif ediyor olabilir, ancak muhtemelen ortalama bir kullanıcının E2EE mesajlaşma hizmetinin nasıl çalıştığına dair zihinsel modelini yansıtmıyor.
Grafik ayrıca, uygulama üreticilerinin kolluk kuvvetleri talepleri hakkında halka açık kılavuzlarında açıkça bahsetmedikleri ayrıntıları da ortaya koyuyor. Bir arama emri ile WhatsApp, hangi WhatsApp kullanıcılarının adres defterlerinde hedef kullanıcı olduğunu açıklayacak, bu da WhatsApp'ın kolluk kuvvetleri bilgi sayfasında belirtilmeyen bir şey. Apple ise, bir görüşmenin gerçekleşip gerçekleşmediğine bakılmaksızın hedef numaraya ve hedef numaradan yapılan 25 günlük iMessage aramalarını verecek; bu da Apple'ın kolluk kuvvetleri kılavuzunda açıklanıyor ancak ne FBI ne de Apple bunun ne anlama geldiğini sade bir İngilizce ile açıklamadığı için anlamak için biraz araştırma yapmak gerekiyor. Her durumda şirket, hedef kullanıcının iletişim bilgilerine sahip olan diğer kullanıcılarının bir listesini, hedef kullanıcı onlarla iletişim kurmuş olsun ya da olmasın, ifşa ediyor. (Diğer mesajlaşma servisleri de benzer bilgileri ifşa ediyorsa, bu durum tabloya yansıtılmamıştır). Bu ayrıntılar, soruşturmacıların 2703(d) emri ya da arama emrine cevaben "[hedef] aboneyeait herhangi birkayıtya dadiğer bilgileri" talep etmelerine olanak tanıyan ABD elektronik gözetim yasasının geniş kapsamının altını çizmektedir. Apple ve Meta, hükümetin aşırı taleplerine karşı kullanıcı gizliliği için mücadele etmiş olsa da, yasa yine de birçok kullanıcı verisini adil bir oyun haline getiriyor.
Mesajlaşma Gizliliğine İlişkin Popüler Yanlış Algılamalar
Kısacası, ortalama bir insanın mesajlaşma uygulamalarındaki hangi bilgilerin federal soruşturmacıların eline geçebileceğini tam olarak anlaması kolay bir iş değildir. Sadece farklı uygulamalar farklı özelliklere sahip olmakla kalmıyor, aynı zamanda uygulama üreticilerinin bu tür ayrıntılar konusunda açık sözlü olmak için pek bir teşvikleri de yok. FBI tablosunun da gösterdiği gibi, ücretsiz, güvenli mesajlaşma uygulamaları pazarı memnuniyet verici derecede kalabalık ve rekabetçi bir alan. Sağlayıcılar, ister kötü niyetli bilgisayar korsanları, ister hükümetler, isterse de sağlayıcının kendisi söz konusu olsun, mevcut ve olası kullanıcılara, kullanıcı güvenliği ve gizliliği söz konusu olduğunda uygulamalarının en iyisi olduğu izlenimini vermek istiyor. Sağlayıcılar, hizmetlerinin güvenlik özelliklerini abartmaktan kaçınmayı öğrendiler, ancak pazarlama metinlerinin teknik teknik incelemelerden veya şeffaflık raporlarından daha fazla ilgi göreceğine bahse giriyorlar.
Bu bağlamda, uygulama üreticilerinin teşvikleri FBI'ınkilerle aynı doğrultuda. FBI'ın şifrelemeye karşı yıllardır yürüttüğü kampanya göz önüne alındığında, kamuya açık konuşmalarında ismen kınadığı şifreli hizmet sağlayıcıları garip bir yatak arkadaşı haline geliyor. Ancak hem hizmet sağlayıcılar hem de FBI, belirli E2EE hizmetlerinden soruşturmacılara sunulan kullanıcı verilerini hafife alan popüler bir yanlış anlamadan faydalanıyor. Bu yanlış anlama aynı anda hem hizmet sağlayıcıların gizlilik bilincine sahip kullanıcıların gözündeki imajını koruyor hem de FBI'ın şifreleme nedeniyle cezai soruşturmalarda "karanlıkta kaldığı" söylemini destekliyor.
Bu yanlış anlama kolluk kuvvetleri müfettişlerine yardımcı olsa da, hedefleri için önemli sonuçlar doğurabilir. Sadece sıradan suçlular değil, gazeteciler ve onların kaynakları, ihbarcılar ve aktivistler de iletişim hizmeti seçimlerine çok bağlıdır.
Rolling Stone'un FBI tablosuyla ilgili makalesinde de belirtildiği üzere, WhatsApp meta verileri, WhatsApp üzerinden yüzlerce mesajlaştığı bir muhabire iç belgeleri sızdıran eski bir ABD Hazine Bakanlığı yetkilisi olan Natalie Edwards'ın tutuklanmasında ve mahkum edilmesinde kilit rol oynadı. Edwards (ve muhtemelen Edwards'a etik bir kaynak koruma yükümlülüğü veren muhabir de) WhatsApp'ın gazeteci/kaynak iletişimi için güvenli olduğuna inanıyordu. Bu yanlış anlama Edwards'ın özgürlüğüne mal oldu.
Efsanenin Ardındaki Gerçek
FOIA ve POTP'daki gayretli müritleri sayesinde, kamuoyu artık efsanenin ardındaki gerçeği düzgün bir şekilde özetleyen dahili FBI belgesini görebilir. Bu belge, "karanlığa gömülme" iddialarına rağmen FBI'ın birkaç milyar küresel kullanıcıya sahip mesajlaşma uygulamalarından kayda değer miktarda kullanıcı verisi elde edebildiğini gösteriyor. (Hükümetin kamuya açık iddialarını kendi iç beyanlarına karşı test etme yeteneği, POTP'nin varlık nedeni olan devlet kayıtlarına kamusal erişimin bu kadar önemli olmasının nedenlerinden biridir). Bulut depolama ve meta verilerin, uçtan uca şifrelemenin gerçek zamanlı iletişim gözetimi üzerindeki etkisini azaltmada oynadığı rolü göstermektedir. Ve hangi popüler E2EE mesajlaşma hizmetlerinin kullanıcıları hakkında gerçekten neredeyse hiçbir şey bilmediğini gösteriyor.
Kullanıcılar kullandıkları şifreli uygulamaların kendileri hakkında çok fazla bilgi tutmadığını düşünüyorlarsa, FBI tablosu bu inancın büyük ölçüde yanlış olduğunu gösteriyor. Bazı istisnalar dışında, birçok büyük E2EE mesajlaşma hizmeti federal kolluk kuvvetlerine her türlü veriyi teslim ediyor ve bulut yedeklemeleri en büyük iki E2EE mesajlaşma uygulamasında gönderilen kayıtlı mesajların ifşa edilmesini bile sağlayabiliyor. Belgede yer alanların çok azı ya da hiçbiri gerçekten haber niteliği taşımasa bile, tek bir sayfada bu kadar kısa ve öz bir şekilde ortaya konulduğunu görmek yine de yararlı. Mesajlaşma gizliliği konusunda endişeleriniz varsa, hangi uygulamanın sizin için en iyisi olduğuna karar vermenize yardımcı olması için bu tabloyu (gazetecilik veya protestolar gibi durumunuza özel gizlilik ve güvenlik kılavuzlarıyla birlikte) kullanın ve bunu sohbet ettiğiniz kişilerle de paylaşın. Bu şekilde, hangi uygulamayı/uygulamaları tutacağınız (ve hangilerini geride bırakacağınız) konusunda daha bilinçli bir karar verebilirsiniz
